Les pirates informatiques essaieront presque n’importe quoi pour pénétrer dans une entreprise rentable et obtenir un salaire d’un million de dollars contre une infection par ransomware. Apparemment, cela inclut maintenant l’envoi direct d’e-mails aux employés et leur demandant de libérer le logiciel malveillant à l’intérieur du réseau de leur employeur en échange d’un pourcentage de tout montant de rançon payé par l’entreprise victime.
Image : Sécurité anormale.
Grue Hassolddirecteur du renseignement sur les menaces chez Sécurité anormale, décrit ce qui s’est passé après avoir adopté un faux personnage et répondu à la proposition dans la capture d’écran ci-dessus. Il a proposé de lui payer 40% d’une demande de rançon d’un million de dollars s’il acceptait de lancer leur logiciel malveillant dans le réseau de son employeur.
Cet escroc particulier était assez bavard, et au cours de cinq jours, il est apparu que le correspondant de Hassold avait été contraint de modifier son approche initiale dans la planification du déploiement du Souche de rançongiciel DemonWaredisponible gratuitement sur GitHub.
« Selon cet acteur, il avait initialement prévu d’envoyer à ses cibles – tous des cadres supérieurs – des e-mails de phishing pour compromettre leurs comptes, mais après cela n’a pas réussi, il s’est tourné vers ce prétexte de ransomware », a écrit Hassold.
Abnormal Security a documenté comment il a lié l’e-mail à un jeune homme au Nigeria qui a reconnu qu’il essayait d’économiser de l’argent pour aider à financer un nouveau réseau social qu’il construit appelé sociogramme.
Image : Sécurité anormale.
Contacté via LinkedIn, fondateur de Sociogram Oluwaseun Medayedupin a demandé que le nom de sa startup soit retiré de l’histoire, bien qu’il n’ait pas répondu aux questions sur la présence d’inexactitudes dans le rapport de Hassold.
« S’il vous plaît, ne nuisez pas à la réputation de Sociogram », a plaidé Medayedupin. « Je vous supplie en tant que jeune homme prometteur. »
L’approche de cet attaquant peut sembler assez amateur, mais ce serait une erreur d’écarter la menace des cybercriminels ouest-africains qui se lancent dans les ransomwares. Alors que les paiements de rançongiciels de plusieurs millions de dollars font la une des journaux, les pertes financières de loin les plus importantes liées à la cybercriminalité chaque année proviennent de la soi-disant Business Email Compromise (BEC) ou CEO Scams, dans laquelle des escrocs principalement basés en Afrique et en Asie du Sud-Est usurpent les communications des dirigeants de l’entreprise cible dans le but d’initier des virements électroniques internationaux non autorisés.
Selon les derniers chiffres (PDF) publié par le Centre de plainte contre la criminalité sur Internet du FBI (IC3), les pertes signalées dues aux escroqueries BEC continuent d’éclipser les autres catégories de pertes liées à la cybercriminalité, atteignant 1,86 milliard de dollars en 2020.
Image : FBI
« Savoir que l’acteur est nigérian boucle vraiment toute l’histoire et fournit un contexte notable aux tactiques utilisées dans l’e-mail initial que nous avons identifié », a écrit Hassold. « Pendant des décennies, les escrocs ouest-africains, principalement situés au Nigéria, ont perfectionné l’utilisation de l’ingénierie sociale dans les activités de cybercriminalité. »
« Alors que la cyberattaque la plus courante que nous voyons de la part d’acteurs nigérians (et l’attaque la plus dommageable au monde) est la compromission des e-mails professionnels (BEC), il est logique qu’un acteur nigérian se rabatte sur l’utilisation de techniques d’ingénierie sociale similaires, même lorsqu’il tente de déployer avec succès une attaque plus sophistiquée sur le plan technique comme un rançongiciel », a conclu Hassold.
NE QUITTEZ PAS VOTRE TRAVAIL DE JOUR
Les cybercriminels à la recherche d’employés mécontents ne sont pas une nouveauté. Les grandes entreprises s’inquiètent depuis longtemps de la menace très réelle d’employés mécontents créant des identités sur des sites darknet et proposant ensuite de saccager le réseau de leur employeur moyennant des frais (pour en savoir plus à ce sujet, voir mon article de 2016, Rise of the Darknet Stokes Fear of the Insider ).
En effet, peut-être que cet escroc nigérian entreprenant ne fait que suivre les tendances actuelles. Plusieurs gangs affiliés établis de rançongiciels qui ont récemment changé de nom sous de nouvelles bannières semblent avoir abandonné le modèle d’affiliation en faveur de l’achat d’un accès illicite aux réseaux d’entreprise.
Par exemple, le gang Lockbit 2.0 ransomware-as-a-service en fait comprend une sollicitation d’initiés dans le fond d’écran laissé sur les systèmes chiffrés avec le logiciel malveillant.
« Aimeriez-vous gagner des millions de dollars ? Notre entreprise acquiert l’accès aux réseaux de diverses entreprises, ainsi que des informations privilégiées qui peuvent vous aider à voler les données les plus précieuses de toute entreprise », lit-on dans l’annonce inhabituelle de LockBit. « Vous pouvez nous fournir des données comptables pour l’accès à n’importe quelle entreprise, par exemple, identifiant et mot de passe pour RDP, VPN, e-mail d’entreprise, etc. Ouvrez notre lettre à votre adresse e-mail. Lancez le virus fourni sur n’importe quel ordinateur de votre entreprise. Les entreprises nous paient la forclusion pour le décryptage des fichiers et la prévention des fuites de données.
Photo : Sophos.
De même, le nouveau BlackMatter gang de rançongiciels a lancé sa présence sur les forums de la cybercriminalité avec le fil sans prétention, « Acheter/monétiser votre accès aux réseaux d’entreprise ». Le reste du message se lit comme suit :
Nous recherchons un accès aux réseaux d’entreprise dans les pays suivants :
– les États Unis
– Canada
– Australie
– la Grande-BretagneTous secteurs d’activité sauf :
– Soins de santé
– Entités gouvernementales.Exigences:
– Chiffre d’affaires selon ZoomInfo : plus de 100 millions.
– Nombre d’hôtes : 500 à 15 000.
– Nous n’acceptons pas les réseaux sur lesquels quelqu’un d’autre a déjà essayé de travailler.Deux options de coopération :
– Nous achetons des réseaux : 3 à 100k.
– Nous les monétisons (sous réserve de négociation au cas par cas).Comment nous travaillons:
Vous sélectionnez une option de coopération. -> Vous fournissez l’accès au réseau. -> Nous le vérifions. -> Nous le prenons ou non (selon qu’il répond aux exigences).